Du bist nicht mit dem Internet verbunden.
Galaxus Logo
SecurityHinter den Kulissen 5896

Aus der digitec IT Security: Kampf gegen Credential Stuffing // Update 22.10.2018 14:00 Uhr

Ein Angriff auf digitec.ch hat zwar keinen Schaden angerichtet, zeigt aber auf, dass Engineers auch ohne finanziellen Schaden stets gegen Hacker kämpfen. Engineer István Flach erzählt vom Angriff von vergangener Woche.

«Ich habe sowas noch nie gemacht», sagt István Flach. Der junge Mann mit ungarischen Wurzeln ist in der laufenden Woche auf Hackerjagd. Denn am vergangenen Wochenende haben die Alarmsysteme digitecs und Galaxus Alarm geschlagen. István untersucht den Incident und versucht, die Schuldigen auszumachen. Klar hat er schon Breaches oder versuchte Breaches untersucht, aber noch nie konnte er einem Angriff so weit und so lange nachgehen. So eine Untersuchung beginnt mit einer kritischen Frage: Wie schlimm hat es uns getroffen?

István kann schnell aufatmen. Nach nur wenigen Stunden kann er mit ziemlicher Sicherheit sagen, was der Angriff erreichen sollte. «Die Kreditkartendaten unserer Kunden sind nicht betroffen und wir haben keine Anzeichen auf finanziellen Schaden oder Datendiebstahl», sagt er. Sein elfköpfiges Team kann sich etwas entspannen und die Alarmstufe wird zurückgestuft.

Warum ist István am Fall dran? «Ich bin stark an IT Security interessiert», sagt er fast beiläufig, spricht aber mit Leidenschaft und Wissen über Breaches, Countermeasures und seine Spurensuche. Sein privates wie auch professionelles Interesse hat dazu geführt, dass er vom Engineering den Auftrag erhalten hat, den Angriff zu untersuchen. Sein Report des Incidents – so nennt die Industrie einen Angriff – ist detailliert und kurz. Das ist selten so, denn meist sind Incident Reports mehrere Dutzend Seiten lang und voller Geschwurbel. Istváns Report sagt das Wesentliche aus, dient als weit mehr als ein Management Summary und zeigt auf, was die Hacker wollten.

Der Angriff im Detail

Die Logs zeigen auf, dass der Angriff am vergangenen Freitag, 12. Oktober 2018, um 15:58 Uhr Ortszeit begonnen hat. Er hat bis am Samstag um 10:03 Uhr angedauert.

«Das machen die immer so. Die wollen nicht, dass viele Leute im Büro sind, die per Zufall den Angriff entdecken können», sagt er.

Den Angriff hätte er aber gar nicht bemerkt. Sie haben pro Sekunde 40 Requests auf die Seiten losgelassen. Wenn so etwas passiert, dann greifen automatische Systeme und blockieren die Login-Versuche. Von den 2 185 717 Loginversuchen sind lediglich 763 564 von Servern digitecs geprüft worden. Die restlichen 1 422 063 Attempts wurden von Schutzmassnahmen, die vor den Servern stehen, blockiert. Auf Galaxus wurden in dieser Zeit 2090 fehlerhafte Logins verzeichnet, was in etwa der normalen Rate an «Mist, jetzt habe ich mein Passwort falsch eingegeben» entspricht. Am Ende haben unsere Server den Angreifern gesagt, dass 48 267 durchprobierte Accounts tatsächlich in unserem System existieren. Passwörter sind aber nicht abgeflossen. Geknackt haben die Hacker nach aktuellem Kenntnisstand nichts. Für dich als User besteht also kein direkter Handlungsbedarf.

István hat also siebenhundertsechzigtausend Datensätze, die er analysieren muss. Das dauert. Das ist nervenaufreibend. Denn was, wenn der Datensatz, den er sich gerade anschaut, der Schlüssel ist? Was, wenn er den kritischen Hinweis auf Schaden, Angreifer oder Zweck der Attacke enthält?

«Wir wissen zwar, dass etwas passiert ist, aber nicht den Zweck der Attacke», sagt der Engineer im weissen Poloshirt. Er wirkt nachdenklich, so, als ob er nach wie vor über den Sinn und Zweck der Attacke rätselt. Denn absolut sicher kann er sich nicht sein. Aber er kann mit einem gewissen Grad an Sicherheit sagen, dass es sich um ein Problem handelt, dass global für Bauchweh sorgt und nicht nur digitec plagt.

Credential Stuffing: Die globale Plage

«Credential Stuffing», sagt István und seufzt. Als ihm diese Erkenntnis kommt, weiss er, dass er einen Berg an Arbeit vor sich hat. Denn es wird schwierig den Sinn und Zweck der Attacke festzustellen.

Das Open Web Application Security Project (OWASP) definiert Credential Stuffing als das automatisierte Durchprobieren von Benutzernamen und Passwörtern. Diese gehen eine Datenbank durch, die in einem anderen Hack entwendet wurde.

Ein Angriff kann so aussehen: Die Hacker haben eine Datenbank eines anderen Hacks zur Hand. Sagen wir, sie haben http://example.org geknackt und dort 13 Millionen Datensätze mit Benutzernamen und Passwörtern im Klartext erhalten. Aus diesen Daten lässt sich Kapital schlagen.

Passwörter müssen nicht ultrakomplex sein
xkcd.com

Derweil hast du für einige Websites dasselbe Passwort, sagen wir mal «LiviaRisottoHasenbaerli», und denselben Benutzernamen, «thomas.mueller@mail.tld», verwendet. Das Passwort an sich ist übrigens sicherer als ein Passwort wie «QDXMam9Y»

  • QDXMam9Y hat einen Entropiewert von 37.3 bits und kann von einem Brute-Force-Angriff mit mittlerem Aufwand geknackt werden
  • LiviaRisottoHasenbaerli hat einen Entropiewert von 104.4 und ist komplex genug, um Finanzdaten zu sichern.

«Egal, wie sicher dein Passwort ist, wenn du es für mehrere Sites verwendest, gehst du ein Risiko ein», sagt István. Er empfiehlt deshalb dringend, dass du auf jeder Seite ein anderes Passwort verwenden sollst.

Gegen Credential Stuffing gibt es kaum Gegenmassnahmen, da die Angreifer die exakt selben Mechanismen nutzen wie legitime Nutzer. Dennoch, Engineers an der Hardturmstrasse in den digitec Offices arbeiten daran, genau wie auch tausende andere Engineers rund um den Globus. Das Problem ist, dass ein Login nach wie vor bequem sein muss, aber trotzdem so sicher wie nur irgendwie möglich.

István kommt dem Sinn und Zweck des Angriffs auf die Schliche. Eine Woche nach dem Angriff und der Feststellung, dass keine akute Gefahr für dich als Kunde oder digitec als Unternehmen besteht, hat er zwei Theorien.

Theorie #1: Angriff der Gamer

Der Angriff ist ein Diebstahl. Die Hacker wollen an Download Codes von Games und Software rankommen und die dann auf dem Schwarzmarkt des Darknet weiterverkaufen.

Das <strong>Darknet</strong>: Ein wichtiges Instrument für die Freiheit
Hintergrund

Das Darknet: Ein wichtiges Instrument für die Freiheit

Das geht global. Die Hacker müssen also nicht in der Schweiz sitzen und Schweizer Games in der Schweiz zocken. Einen Code kannst du auf der Site des Game-Herstellers einlösen und das Game gratis und scheinbar legal runterladen. Denn der Hersteller validiert die Gutschein-Codes selten, da diese zufällig generiert worden sind. Am Ende hätte digitec und ein Kunde pro Code den Schaden und irgendwer zockt irgendwo ein Game auf deine Kosten.

Der Engineer kann aber mit Sicherheit sagen, dass der Angriff fehlgeschlagen ist, sollte das der Zweck der Attacke gewesen sein.

Theorie #2: Datenvalidierung

Die zweite Theorie ist im Moment jene, an die István am ehesten glaubt und deren Spur er aktuell verfolgt. Die Hacker wollten gar nichts stehlen, sondern Daten validieren. Denn je mehr valide Datensätze eine gestohlene Datenbank enthält, desto wertvoller ist sie für die Hacker, die tatsächlich Schaden anrichten wollen.

Das geht so: Eine Bande Hacker hat die Datenbank von http://example.org entwendet. 13 Millionen Datensätze. Bevor die Datenbank auf den offenen Markt kommt, muss etwas Gras über den Hack wachsen. In dieser Zeit werden User von Example.org darauf hingewiesen, dass sie ihr Passwort ändern sollen. Einige tun das, einige nicht. Wenn es dann an den Verkauf der Datenbank geht, läuft das ganz normal ab: «Zu verkaufen: Datenbank mit 10 Millionen validen Datensätzen» kostet mehr und ist gefragter als «Datenbank mit 8 Millionen validen Datensätzen». Dazu aber müssen die Daten überprüft werden.

Daher filtern die Hacker ihre Daten. Daher suchen sie sich eine Site, die von vielen genutzt wird. In unserem Beispiel soll das https://bispiel.ch sein, eine Schweizer Site mit einer Million Nutzern. Die Datenbank von example.org wird also gefiltert. Alle Datensätze, die in ihren Adressdaten das Land «Schweiz» angegeben haben oder deren E-Mail-Adresse auf .ch endet, werden in eine separate Datenbank kopiert und diese wird dann auf bispiel.ch losgelassen. Wenn thomas.mueller@mail.tld auch auf bispiel.ch registriert ist und dort auch das Passwort LiviaRisottoHasenbaerli verwendet hat, wird der Account als gültig verkauft.

Wer sind die Hacker?

Zu einer vollständigen Untersuchung und der Meldung an die [Melde- und Analysestelle Informationssicherung MELANI) geht István einer Frage nach: Wer steckt hinter dem Angriff?

Schnell wird klar, dass die Hacker nicht gerade dumm sind. Natürlich verwenden sie Proxies, also Server, die den wahren Ursprung des Angriffes verschleiern. Dazu wird keine IP mehr als 14 mal während dem Angriff verwendet.

«Die üblichen Verdächtigen sind natürlich dabei», sagt István und schmunzelt.

Sein Report zeigt, die Top drei IP Ranges:

  • Russland
  • Estland
  • Litauen

Die Spur verliert sich da, denn diese Länder nehmen es mit der IT Security auf Gesetzesebene nicht so genau und Russland betreibt laut so ziemlich jeden Geheimdienst dieses Planeten – mit Ausnahme des russischen FSB – gar seine eigene «Cyber Armee» in der Staatshacker im Auftrag der Regierung ihre Fähigkeiten zu politischen Zwecken einsetzen.

Die Gegenmassnahmen

Zu jeder guten Incident Response gehören Gegenmassnahmen. Absolute Sicherheit gibt es zwar nicht, aber István und die Engineers in Zürich können sicherstellen, dass sich der Angriff in dieser Form nicht wiederholen kann. Denn den Angreifern ist etwas gelungen, das nur schwierig hinzukriegen ist: Sie haben ReCaptcha geschlagen. Entweder haben sie es hingekriegt, das Rätsel maschinell zu lösen, oder eine Schwachstelle in der Implementierung des Mechanismus ausgenutzt und ihn so umgangen. Da laufen die Ermittlungen noch.

«Das sagt mir vor allem eines: Unser aktuelles Login-System hat Schwächen», sagt István.

Es gebe nun zwei Möglichkeiten. Entweder die Engineers machen den Login komplexer und für dich als Nutzer lästiger, oder sie überholen ihn ganz. István hat bereits eine erste Idee, die auch schon angenommen worden ist: Der Login wird gesplittet. Das heisst, dass du künftig – wann genau ist noch unklar – auf einer Seite deinen Benutzernamen eingeben musst, auf einer nächsten dann dein Passwort. Der Engineer schweift kurz ab: Dieser Mechanismus ist nicht mit einer Two-Factor Authentication zu verwechseln. Diese kannst du in deinem Profil aktivieren und so schützt du deinen Account noch besser.

«Stell dir das so vor wie bei Google», sagt István.

Die Planung für dieses neue Login beginnt. An vorderster Front dabei: István Flach, Engineer aus Ungarn.

Update 22.10.2018 14:00 Uhr – Was die Hacker können und wissen

Das Team um István hat die Ermittlungen am Angriff nicht abgeschlossen. Daher ist bereits jetzt ein Update fällig. Die Nachforschungen am Wochenende und am Montagmorgen ergeben Folgendes:

  • Die Angreifer haben ReCaptcha nicht geschlagen. ReCaptcha hat einwandfrei funktioniert.
  • Die Datenvalidierung mit unserer Site ist ebenfalls fehlgeschlagen. Unsere Server haben nur die Meldung «Falscher Username oder Passwort» in Richtung der Angreifer geworfen. Sprich: Die Angreifer haben keine nützlichen Daten erhalten. Das freut uns.
  • Selbst wenn du unter den 48 267 Usern bist, deren Accounts direkt angegriffen wurden, kannst du aufatmen. Auch da wurde «Falscher Username oder Passwort» ausgegeben.

Die Ermittlungen werden noch etwas andauern, neigen sich aber dem Ende zu. Der aktuelle, und wohl letzte, Stand ist, dass da ein Angriffsversuch war, aber nichts passiert ist.

Avatar

Dominik Bärlocher, Zürich

  • Senior Editor
Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.

58 Kommentare

3000 / 3000 Zeichen
Es gelten die Community-Bedingungen.

User swiss-saibot

Wow, sehr spannender Artikel.
Bitte bringt mehr solcher Beiträge eurer IT.

19.10.2018
User f0rky

Sehe ich genauso!

19.10.2018
Antworten
User helmetjohnny

Spannender Artikel, aber:
Wenn ihr schon xkcd Sketches in "braucht", dann bitte mit Quellenangabe. Sonst ist das ziemlich scheisse fürs Karma. #justsayin

20.10.2018
User helmetjohnny

* bitte minus ein "in"

20.10.2018
Antworten
User JonasRüegge

Wieviele Kunden mit potentiellen Webseitenaufrufen mit Ip's aus den drei genannten Ländern habt Ihr? (Russland Estland, Litauen)
Manchmal macht es Sinn gewisse Ranges einfach per see mal zu blocken oder zu tracken und mit zusätzlicher Sicherheitshürde zu versehen.

20.10.2018
User Anonymous

Diese Adidas hockenden Blyats werden wohl auch eine Ländersperre umgehen und CH IP's verwenden können.

21.10.2018
User JonasRüegge

@Anonymous: ja, nur hinterlassen Sie in jedem Fall mindestens eine zusätzliche Spur und ggF. jemanden der auch zur Haftung gezogen werden kann, oder vor grösserem Schaden bewahrt wird (Botnetz...) Schonmal versucht jemanden in Litauen zur Rechenschaft zu ziehen? Braucht viel Überzeugungsarbeit bei der Staatsanwaltschaft...

22.10.2018
Antworten
User Sinthoras

"Am Ende haben unsere Server den Angreifern gesagt, dass 48 267 durchprobierte Accounts tatsächlich in unserem System existieren".

Wie ist sowas passiert? Bei einem fehlerhaften Login dürfte normalerweise keine Fehler nach aussen gegeben werden, ob der Loginname oder das Passwort falsch ist. Dasselbe auch beim Passwort vergessen, dürfte nicht nach bekannt gegeben werden, dass die E-Mailadresse nicht existiert.

20.10.2018
User Anonymous

Also, wenn sich das System so verhält, dass Benutzernamen herausgefunden werden können, liesse sich da schon etwas machen. Idealerweise sollte nach fehlerhaftem Login nicht ersichtlich sein, ob Username, Passwort oder beides falsch war. Zusätzlich sollte jeder Benutzer die 2 Faktor-Authentisierung aktivieren.

19.10.2018
User schrottbox83

das ging mir auch durch den kopf.
sehe ich gefühlt sogar als sicherer an, als die 2-Page-Lösung im Artikel(?).
denn wenn man dort zur zweiten Seite (der Passwort-Seite) kommt, wird einem ja im umkehrschluss der Benutzername automatisch auch als gültig erklärt.. sonst käme man ja gar nicht bis zur zweiten Seite(?).

..aber eigentlich habe ich keine Anhnung. :) kann mich jemand erleuchten?

20.10.2018
User Anonymous

Ausserdem sollte beim Passwort zurücksetzen auch nicht ersichtlich sein, ob die E-Mail Adresse korrekt ist sondern eher: "Falls diese E-Mail Adresse in unseren Systemen vorhanden ist, bekommst du gleich eine E-Mail".

20.10.2018
User _chrigu

Jedem Benutzer eine 2-Factor Authentifizierung aufzuzwingen ist unzumutbar und dennoch ist 2FA eine praktisch unknackbare Hürde für Hacker.
Man kann theoretisch bei einer 2-Page Lösung auch mit einem ungültigen Benutzer auf die zweite Seite gelangen um böse Menschen und Bots in die Irre zu führen 😜
Aber ich gebe dir recht, es sollte nicht ersichtlich sein, wieso ein Login genau fehlgeschlagen ist. Auch beim Passwort zurücksetzen.
Der Vorteil einer 2-Page Lösung ist vorallem, dass man weis, welcher Benutzer sich einzuloggen versucht und noch gezieltere Abwehrmassnahmen "zwischenschalten" kann.

22.10.2018
Antworten
User marylong75

Klasse, äusserst spannender und verständlicher Artikel. Gut dass ihr solche Vorfälle publik macht und nicht verheimlicht.

20.10.2018
User mael.wyssbrod

Ich habe seit langer Zeit auf Digitec das Problem, dass ich mich bei jedem Besuch neu anmelden muss. Sei es auf Smartphone, Laptop oder PC. Es zeigt mir zwar oben rechts mein Profilbild und meinen Namen an, ich muss mich aber anschliessend immer erst per Google anmelden, bevor ich meine Bestellungen etc. ansehen kann. Lustigerweise kann ich in diesem halb eingeloggtem Zustand meine eigenen Kommentare liken :D

19.10.2018
User Anonymous

Ist das auf Google Chrome?

20.10.2018
User mael.wyssbrod

@[Anonymous] Yep, Chrome auf PC, Chromium auf Laptop und die Chrome-App auf Android.

20.10.2018
User jonalbrecht

Ist bei mir ebenfalls so. Nutze zwar Firefox aber melde mich auch mit Google an.

21.10.2018
User Dominik Bärlocher

Ohne die Details deines Problems zu kennen: Kill mal alle Cookies von digitec.ch. Dann musst du die neu generieren und dein Login könnte wieder funktionieren.

22.10.2018
User _chrigu

Blöde Frage aber hast du die Checkbox "Angemeldet bleiben" beim Login ausgewählt? Dann solltest du eingeloggt bleiben.

22.10.2018
Antworten
User JonasRüegge

Wieviele Kunden mit Ip's aus den drei genannten Ländern habt Ihr? (Russland Estland, Litauen)
Manchmal macht es Sinn gewisse Ranges einfach per see mal zu blocken oder zu tracken und mit zusätzlicher Sicherheitshürde zu versehen.

20.10.2018
User Anonymous

Wieso kein GEOblocking? Habt ihr in den letzten Monaten Artikel nach Russland/Estland/Litauen versendet?

20.10.2018
User MakeAppsNotWar

Sehr interessant!
Aber ist das Passwort Bild nicht etwas irreführend?

Ja, im Bestfall braucht der Computer 550 Jahre. Aber er muss doch nicht alle Kombis machen. Wenn er per Zufall zuerst gerade das richtige Passwort rät, dauerts keine Sekunde.

Oder verstehe ich da was falsch?

19.10.2018
User f0rky

Jein, es spielen ja noch mehr Faktoren eine Rolle. Der Angriff auf eine Webseite ist ja zielgerichtet und da kann man direkt mal die Passwort-Formel der Webseite mit einbauen, so dass der Brute-Force nur den Range checkt, wo auch mögliche Passwörter existieren. Klingt logisch oder?

Die Vorgänge wie Passwort getestet werden sind verschieden, aber das Bild stimmt grundsätzlich. Wie auch Dominik sagt je mehr Bits, desto mehr verschiedene Möglichkeiten entstehen. Wenn ein Passwort nur 2 Zeichen haben darf sind die Möglichkeiten sehr begrenzt, darf ein Passwort aber bis zu 20 oder mehr Zeichen haben ergibt das Milliarden von Möglichkeiten. Brute Force Attacken beginnen idR im unteren Range-Bereich und arbeiten sich hoch, da das effizienter ist als mit den 20-stelligen Passwörter zu beginnen.

Hoffe das macht irgendwie Sinn für Dich :-)

19.10.2018
User f0rky

Falls Du ein Passwort im "Mindest-Bereich" z.B. wird von der angegriffenen Webseite mind. 6 Zeichen verlangt und Du nur so viele Zeichen verwendest, besteht natürlich die Möglichkeit, dass das Passwort schnell geknackt ist... aber per "Zufall" hat mit BruteForce wenig zu tun, da wird systematisch alles durchgetestet und benötigt viel Rechenpower...

19.10.2018
User MakeAppsNotWar

Klar. Aber so weit ich das verstehe, wird bei Bruteforce einfach ein PW nach dem anderen probiert.
a-b-c-d-...1-2-3...aa-ab-ac

Und wenn dann mein PW gerade a ist, muss der OC js gar nicht erst die anderen 25 berechnen -> schneller

20.10.2018
User f0rky

Das ist vollkommen richtig, darum längere Passwörter wählen, weil üblicherweise mit den kleinstmöglichen begonnen wird. (Effizienz)

20.10.2018
User Anonymous

Ich werf jetzt einfach mal den Begriff Rainbow-Table in den Raum. Sollte es ein Well-Known-Word sein zum Beispiel eines welches existiert. Dann dauert das milisekunden sollte man an den Hash des Passwortes kommem zum Beispiel über einen infizierten Rechner/Server.

26.10.2018
Antworten
User Anonymous

Login & Passwort Seite zu splitten ist wohl eher kontraproduktiv da dann die gängigen Passwort Manager nicht mehr richtig funktionieren...

21.10.2018
User mrenaud

Bei Keepass geht das, man muss einfach das Makro für solche Seiten entsprechend anpassen, dass er anstelle von Username-TAB-Passwort-ENTER halt Username-ENTER-Passwort-ENTER macht. Ob andere Passwortmanager ähnliches können, weiss ich allerdings nicht.

21.10.2018
User Anonymous

Exakt, plus noch eine Zeitverzögerung einbauen, damit nicht das Passwort schon eingegeben wird, bevor die neue Seite geladen hat:
{USERNAME}{ENTER}{DELAY 2000}{PASSWORD}{ENTER}
Keepass ist dein Freund!

21.10.2018
User hauschild

Komisch, dass du das sagst, weil 1Password und Dashlane problemlos funktionieren. Mit welchen Passwort Manager hast du probleme?

29.10.2018
User Anonymous

Verwende mittlerweile hauptsächlich Dashlane - früher LastPass. Funktioniert bei beiden erfahrungsgemäss nur in ca. 50% aller Fälle. Eventuell ein Timing Problem - bei KeePass kann man das ja anscheinend konfigurieren....
Zum Glück sind die meisten Seiten nicht so aufgebaut. Nerve mich nur jeweils daran wenn ich wieder einmal überall die Passwörter ändern muss. Mühsam ist auch falls 2FA bereits auf der ersten Seite ist da dann ein Auto-Login ohne 2FA Eingabe versucht wird, was natürlich (hoffentlich) nicht funktioniert.
Am besten funktioniert: 1-Seite: Username&Passwort 2-Seite: 2FA

29.10.2018
Antworten
User Hascox

"LiviaRisottoHasenbaerli" Bitte nicht als Passwort empfehlen. Es ist relativ einfach durch ein "Dictionary Attack" zu knacken.

21.10.2018
User AlidenCortez

Gibt es da keine Spezialisten, welche ihr damit beauftragen könnt?
Wenn ich das so lese klingt es so, als wäre jetzt ein Hobby-Sherlock (der das noch nie gemacht hat) mit einem nicht unrelevanten IT-Security Problem beschäftigt.

22.10.2018
User AlidenCortez

Und wenn ich das richtig verstanden habe, dann heisst das doch, dass sich 48 267 Accountlogins eurer Kunden in einer Haker-Datenbank befinden. Wisst ihr denn auch wer betroffen ist? Und werden diese Kunden informiert? Oder wäre dann die Empfehlung für einen Passwortwechsel nicht trotzdem angebracht?

22.10.2018
Antworten
User hedwig1936

"Am Ende haben unsere Server den Angreifern gesagt, dass 48 267 durchprobierte Accounts tatsächlich in unserem System existieren" das ist schon nicht Optimal, jetzt könnte man die Angriffe auf diese Accounts konzentrieren und hat deutlich höhere Chancen.

26.10.2018
User steve_bitzi

Da ihr ja wisst, welche 48 267 Nutzer "betroffen" waren, könntet Ihr diesen ja einen Gefallen machen und eine Mail senden, dass sie in besagter Datenbank vertreten sind und es keine schlechte Idee sei, ihr Passwort vielleicht wiedermal zu wechseln :)

26.10.2018
User Anonymous

Wir (Name daarf ich nicht sagen) nutzen für Zugriffe eine 2-Weg Authentisierung übers Handy (wie bspw. Banken).
Die Wahrscheinlichkeit, dass beide Geräte betroffen sind ist relativ klein und beträffe dann ja auch nur einen einzelnen Account.
MobileID, SMS etc. sind da Dinge die mir einfallen.
Guter Bericht - vielen Dank.

20.10.2018
User MakeAppsNotWar

Naja. Das ist doch schon sehr umständlich für einen Onlineshop.
Aber es wäre gut eine solche Option anzubieten.
Oder zum Beispiel einfach nur vor den Zahlunhsprozess zu stellen

20.10.2018
User Tschuliän

Im Kundenkonto kann man für sich für eine 2-Weg Authentisierung freischalten. Man hat also die Möglichkeit seinen Account sicherer zugestallten, wenn man möchte.

22.10.2018
Antworten
User Anonymous

Apropos ReCaptcha, der nervt mich sowieso könnt ihr da nicht ein anderes einbauen? Einer der nicht so nervig ist?

20.10.2018
User MakeAppsNotWar

Nein. noCaptcha (Das mit den Bildern antippen) ist derzeit das sicherste. Die alten mit den Wörtern können mittlerweile geknackt werden.

Aber wenn du ne gute Idee hast, bring sie Google. Kannst reich werden.

20.10.2018
User plusquam_ch

die nerven ganz gewaltig .. ich hasse captchas generell .. sorry .. ist so!
ich kenne leute die kaufen NICHT mehr bei digitec ein, weil die sich so genervt haben .. echt!
eine frage .. da steh ich auf dem schlauch:
wieso lässt man nicht nur 3-5 login-versuche zu und stoppt dann mit zeitverzögerung? also nach 10 minuten kann man dann z.b. den 4ten versuch machen, nach 30 min. den 5ten, nach 2std. den 6ten, etc.?
ich versteh das nicht .. wäre doch recht einfach??
und auch wie jonasRüegge schreibt: höhere hürden für gewisse länder .. wär auch recht einfach.
aber bitte keine komplizierten login-prozederes .. dann springen ganz sicher noch mehr kunden ab.

20.10.2018
User MHenkel

Ich habe mich minutenlang geärgert, dass ich mich nicht einloggen konnte, verschiedene Passwörter probiert, dann sogar Passwort zurücksetzen lassen ... nur um festzustellen, uBlock hat das Captcha geblockt. Aber als Fehlermeldung kam nur was generisches ("Benutzername/Passwort falsch" oder so) und ich stand auf dem Schlauch. Hat ne Weile gedauert, den Grund zu finden!

Von daher: Lösungen ohne Google, Facebook, etc., sondern was selbstgehostetes, Eigenentwicklung oder OpenSource, wäre genial!

20.10.2018
User f0rky

@Plusquam_ch: Dir ist schon bewusst, dass die Angriff nicht nur von einem Computer/IP stammen werden?

21.10.2018
User MakeAppsNotWar

@MHenkel Das ist wohl kaum der Fehler von Digitec wenn du AddOns nutzt, die Captchas blockt.
OpenSource ist nicht die beste Idee, da es einfacher wird eine SIcherheits-Lücke zu finden

22.10.2018
Antworten
User xtomiff

Spannend! Danke!

21.10.2018
User Burton1224

Tja gibt Gründe warum ich immer mal wieder die Passwörter ändere....vermindert die Chance, dass sie ein Passwort klauen und ein nächstes mal knacken den wie jeder Mensch kann man sich nicht 100te PWs merken.

21.10.2018
User Dots

super Beitrag... gerne mehr davon.

23.10.2018
User Canavar

Dürfte ich mal bei euch vorbeischauen, wie ihr das ganze Problem angeht? Ich würde gerne mal mein Privat erlerntes und schulisch angeeignete Fachwissen 'testen'. Auf ein Antwort würde ich mich freuen :)

20.10.2018
User MakeAppsNotWar

Wär ich auch dabei ;P

20.10.2018
User Anonymous

Aaha.. also warst du das?

20.10.2018
Antworten